пропозиції роботи
Wypowiedzi
-
Ciężko się nie zgodzić :)
-
Tomasz F.:
W tym zakresie wykładają nie-prawnicy
Grzegorz K.:
Chętnie zobaczę program studiów, na których wykładają podstawy bezpieczeństwa sieci i systemów. Bo jak na razie to żadnych takich nie znalazłem.
WSAP Szczecin - podyplom dla IOD -
Grzegorz K.:
Chętnie zobaczę program studiów, na których wykładają podstawy bezpieczeństwa sieci i systemów. Bo jak na razie to żadnych takich nie znalazłem.
WSAP Szczecin - podyplom dla IOD -
Grzegorz K.:
Idąc dalej tym tokiem jeśli lasia nie zachowa poufności lub informacja wypłynie to z delikwentem już nikt się nie umówi.
Czy może to naruszyć prawa i wolności? W sensie czy może spowodować, że z tym skierowanym na kiłę nie umówi się lasia z finansowego? TAK.
Ograniczenie przepływu danych może nastąpić w wyniku podpięcia tych danych pod te z 9 lub 10 (bezwzględnie jak są podstawy), ale też i zwykłych robionych tylko na 6 RODO, ale których przetwarzanie może skutkować naruszeniem praw i wolności (jak to uzna admin).
Dzięki - pytanie było abstrakcyjno teoretyczne. Nie związane z konkretną jednostką, choć wydaje mi się że może dotyczyć większej liczby podmiotów /pracodawców którzy zatrudniają pracowników na kp i medycyn/.
Jeśli tam doradzasz, napisz. Decyzja admina. Ale mam poradę (za free).
Ostatnio czytałem na fb na kilka tematów, gdzie na pytanie o med pracy padała kategoryczna odpowiedź jak medycyna pracy to nie ma powierzenia bo to ado-ado i ktoś w telewizji czy konferencji na YT tak powiedział autoratywnie i nie ma dyskusji.
A że moim zdaniem brak wątpliwości jest bardziej niebezpieczny niż posiadanie wątpliwości, to stwierdziłem, że zbadam proces i w przepływach pojawiła się kwestia o której powyżej. -
np. ta fakturka z wykazem badań, 2 osoby, różny wiek, podobne biurowe stanowisko pracy, jeden ma ekg drugi nie,
- ja się zastanowiłem czemu jeden x badań a drugi x+1
- te dokumenty zwrotne analizują kadrowe czy pracownik jest na liście przebadanych /tzn stawił się do omp/ oraz fk pod względem kosztów itp.
zastanawiam się na ile to mieści się ramach minimalizacji i adekwatności bo pracodawca /może się mylę/ chyba przyjmuje kwotę wskazaną przez omp i nie wyobrażam sobie co w razie wątpliwości - spyta się pracownika - czy na badaniach wykonano Panu ekg i skierowano do psychiatry?
jak to potwierdzić i po co, więc czy jest sens zamieszczania rodzajów badań
ps.
niestety nie mam teraz przepisów w zasięgu, ale zdaje się, że było, w razie potrzeby (konieczności w celu wydania np. orzeczenia) lek. med. pracy, może zlecić dodatkowe badania -
{Prywata: Panie Ryszardzie pozdrawiam również}
-
Właśnie, mam pewne wątpliwości jeszcze nie do końca określone
idąc trochę na łatwiznę i ze wzgledu na brak czasu, mniej więcej chodziło mi o to, o czym piszą w treści poniżej
copy ze strony: https://www.poradyodo.pl/sluzba-zdrowia/branza-medyczna...
["
Rozliczenia pomiędzy pracodawcą a jednostką medycyny pracy – problem danych ze szczególnej kategorii
Pytanie:
Po zakończeniu badania profilaktycznego pracodawcy wystawiana jest zbiorcza faktura za badania skierowanych w danym miesiącu pracowników, która zawiera imię, nazwisko pracownika któremu przeprowadzono badanie oraz kwotę do zapłaty za poszczególnego pracownika. Pracodawca wymaga wyszczególnienia, za jakie konkretnie badania płaca (np. badania analityczne, konsultację neurologiczna, okulistyczną itp. Czy umieszczenie takich informacji na załączniku do faktury jest dopuszczalne, czy też należy je traktować w kategorii informacji o stanie zdrowia, których pracodawca nie powinien poznać?
Odpowiedź:
Dane osobowe o stanie zdrowia pacjentów nie powinny być przetwarzane na fakturze przekazywanej pracodawcy.
„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia." (art. 4 RODO). Bardziej szczegółowe wyjaśnienia znajdziemy jednak w motywie 35 do preambuły RODO, zgodnie z którym do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej:
numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych,
informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych,
wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro."
Dane, które zostały przytoczone w pytaniu, mogą być uznane za dane o stanie zdrowia, jeśli dane oznaczenie wiąże się z potencjalną identyfikacją schorzenia, problemu pracownika, czy ryzykiem wystąpienia choroby. Ich przetwarzanie na fakturze nie jest więc dopuszczalne, jako że mamy do czynienia z danymi ze szczególnej kategorii."] -
Paweł - faktycznie miało być dotyczące zdrowia
ale co mnie zastanawia to potem pracodawca dostaje wykaz, imię nazwisko kwota, rodzaj badania - np. konsultacja okulistyczna,psycholog, morfologia, cholesterol, mocz, ekg, itd.
czy to można uznać za niezbędne w kontekście 6.1f i motywu 47?
tym bardziej że pracodawca powinien dostać modelowo tylko info zdolny/niezdolny -
Witam, wracając do tematu w miejscu jak niżej
Grzegorz K.:
Naprawdę nie ma powierzenia w ŻADNEJ z form działania medycyny pracy? Sarkazm mi się włącza, ale pohamuję. Ktoś z Was był przy pracy lekarza MP w miejscu konsultacji, oceny uciążliwości czy ryzyka na konkretnej fabryce i w konkretnym miejscu?
Czy może dyskusja toczy się tylko o ust. 2?
Pozostanę przy swoim stanowisku. Ocena, czy dochodzi do powierzenia danych przy stałej umowie ocenię na podstawie zadań, jakie w umowie są zawarte. I w niektórych przypadkach nadal będę podpisywał POWIERZENIE.
staram się poukładać kwestię medycyny pracy w zakresie badań pracowniczych
i jeśli wydaje mi się dobre stanowisko uodo z poradnika, to owszem jak już pacjent (pracownik skierowany na badania okresowe) jest już w ośrodku medycyny pracy i badają go itd. to administratorem jest OMP i sprawa kończy się tym że pracownik dostaje orzeczenie/zaświadczenie
tyle że to model trochę modelowy,
w realu potem dochodzi do konieczności rozliczenia sie OMP z pracodawcą przebadanego pracownika,
w pewnej liczbie ośrodków to się odbywa tak, że jest umowa, cennik badań jednostkowych i OMP wysyła pracodawcy listę zawierającą imię nazwisko pracownika + informację o przeprowadzonym badaniu + koszt badania żeby było jasne dla pracodawcy za co płaci / czy kwota jest adekwatna
jak to widzicie pod względem przetwarzania danych /danych o stanie zdrowia/
podstaw udostępnienia (o ile je widzicie) lub być może powierzenia (choć tu nie widzę sensu powierzenia) i ogólnie dopuszczalności takiego obiegu danych -
Paweł G.:
Grzegorz, publicznym RODO nie daje podstaw prawnych do monitoringu, więc albo powstanie specustawa, albo żegnaj Gienia!
czemu? bo jakoś nie wyobrażam sobie żeby ileśset/tysięcyjednostek zlikwidowało monitoring w trybie żegnaj Gienia
a np. projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych - proponowane zmiany w kp /zapis o monitoringu wizyjnym - chyba że ten projekt już się pożegnałTen post został edytowany przez Autora dnia 13.03.18 o godzinie 21:53 -
Grzegorz K.:
Mam wrażenie nieodparte wręcz, że jak ustawodawca będzie chciał regulować przepisem każde rozwiązanie z kategorii zabezpieczeń to się zagubi.
ja też ale uregulowania w kwestii monitoringu by nam mocno pomogły
tylko może nie w taki sposób bo jak to odszyfrować + w jakim czasie przeanalizować zmiany
-> fragment z proj. przep. wprow ustawę odo /inny niż ten odnoszący się do monitoringu/
[Do przetwarzania danych osobowych, o których mowa w art. 2 ust.2, art. 5b ust.
2 pkt 3, art. 6 ust. 8, art. 6a ust. 2a, art. 7 ust. 4a, art. 10 ust. 3c, art. 12a, art. 13 ust. 7, art. 19 ust. 1a, art. 19a ust. 5, art. 20 ust. 5, art. 23 ust. 2a, art. 29 ust. 1a, art. 29a ust. 3a, art. 31e ust. 2 pkt 1 i 3, art. 33d ust. 2a oraz art. 33e przepisów art. 13, 14 i 19 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań, o których mowa w art. 2 ust.1, art. 5b ust.1, art. 6 ust. 1 i 7, art. 6a ust. 1, art. 7 ust. 4, art. 10 ust. 3c, art. 11 ust. 1, art. 12 ust. 1, art. 13 ust. 1 i 6, art. 19 ust. 1, art. 19a ust. 1, art. 20 ust. 1 i 2, art. 23 ust. 1 i 2, art. 29 ust. 1, art. 29a ust. 3, art. 31e ust. 1 i 3, art. 33c ust. 1 oraz art. 33d ust. 1 i 2. -
mnie też nie za bardzo,
także końcówka wypowiedzi dla Panoptykonu z zał. linka
co z tego że podmiot się dowie /o naruszeniu/ jak stanie się już stroną postępowania urzędu tu chyba czynnik czasu jest kluczowy i mam wrażenie że przez proponowane zmiany będzie t=t+[?] -
info coś zaczęło się dziać w kwestii odo w kancelariach, tak na szybkiego przewertowałem ale uczucia zdaje się jak na razie mieszane
http://oirp.olsztyn.pl/zbior-wzorow-dokumentow-zwiazan... -
do poczytania sprawa poczty email i bcc - ciekawie się rozwinęła sytuacja
https://niebezpiecznik.pl/post/zapomnieli-o-bcc-ujawnil... -
Witam,
dodam tylko jeszcze, że od wybranego wariantu ABI/bez ABI zależy zakres obowiązku zgłaszania zbiorów danych do Giodo (zbiory podlegające wyłączeniu art 43 ust.1 i 1a) należałoby sprawdzić pod tym kątem te przygotowane przez firmę zewnętrzną wnioski.
+
Jeśli firma obrała wariant 36b (pkt2 w poście Sebastiana) to zakresu obowiązków Koordynatora należy szukać w regulacjach wewnętrznych - czy tych wspomnianych politykach / innych /zakresach obowiązków/ itp -
Grzegorz K.:
Szymon, ja mam kolejne casusiki dla wielbicieli casusików.
Policja - zatrzymała gościa w charakterze podejrzanego. Imię i pierwsza litera jest znów - BEZSPORNIE daną osobową dla ADO - czyli dla Policji. Niemniej w komunikacie prasowym ujawnia ową daną osobową całemu światu (jak media elektroniczne) lub w Polsce (jak tradycyjne).
To samo robi prokuratura po skierowaniu aktu oskarżenia, czy sąd - po wyroku.
Przypomnę tylko, że w tym przypadku jest to świetnie pasujący casusik, bo istnieje procedura ujawnienia danych osobowych w każdej fazie zarówno postępowania przygotowawczego jak i sądowego. Ale imię i pierwsza litera nie są udostępniane w trybie tych regulacji, tylko ot tak po prostu.
czy ten casusik miał pokazać to o czym była mowa wcześniej czyli niejednoznaczność uznania czegoś za dane osobowe z punktu widzenia osoby, która dokonuje oceny (np. ADO a osoba trzecia odbiorca komunikatu prasowego itp.)?
a jeśli tak to mój casusik jako dodatek do zacytowoanego (żeby jeszcze zamotać):
czy w tym komunikacie prasowym Policja ujawniła światu dane osobowe podejrzanego, czy może dokonała anonimizacji lub pseudoanonimizacji danych osobowych i dopiero wypuściłą je w komunikacie?
Jak było wcześniej zaznaczane przez osoby w wątku w kontekście d.o. czym innym jest jak mamy pewność że ten gość to ten, a co innego jak możemy podejrzewać/domniemywać na podstawie wybranych dostępnych nam informacji np. określenie podejrzany Tomasz F. został zatrzymany ... -
Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.
Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.
To zależy - generalnie te informacje mogą nie być danymi osobowymi dla innego pacjenta tak długo, jak nie ma możliwości identyfikacji. Nie można też wykluczyć, że ktoś spojrzy na tą kopertę imię nazwisko pesel i stwierdzi że zna/identyfikuję tą osobę na podst. obserwacji bo np. sąsiad czy teściowa /a zna przypadkiem ich pesel i pasują do nazwiska/.
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.
Jak napisał Paweł dla ADO i jego upoważnionych są to dane osobowe i ma obowiązek ich ochrony. co łączy się z wcześniejszymi kwestiami /czy może być oraz czy zostawiamy na biurku.
Jeśli dokonano zabezpieczenia tych danych przed udostępnieniem /oznaczenia koperty oraz zawartości koperty/ to nie widzę przesłanek zakazu nanoszenia tego numeru pesel. Z tym, że mam wątpliwości czy dokonano tego zabezpieczenia.
ps. zrobiłem rachunek sumienia - moje wizyty u lekarzy które pamiętam, tylko w jednej z przychodni te koperty były zabezpieczone /w sensie nie leżały na biurku/ ale tylko w sytuacji gdy lekarz przyjmował w swoim gabinecie, w innym pomieszczeniu czy inny rodzaj świadczeń tego samego lekarza - już nie. -
Ja zawsze czytam z zainteresowaniem spory /jeśli mogę tak napisać przedstawicieli dwóch doktryn/szkól/.podejścia. Te bitwy są btw. bardzo pouczające :).
Tylko mam wrażenie że w dyskusji gubi się meritum spawy - bo czy najważniejsze jest, że lekarz/pielęgniarka nasmarował PESEL na kopercie.
Moim zdaniem trzeba rozpatrzyć jakie to niesie zagrożenia zapisanie tego peselu obok nazwiska.
Jeśli mam tą kopertę i podnoszone jest że pacjent może zerknąć i zobaczyć opis tej koperty, to zakładam że jest lekarz biurko i pacjent/interesant - sporne koperty lezą między nimi na biurku i pacjent może oglądać.
Jeśli powyższe się zgadza to może nie narzucać zmiany systemu oznaczania kopert, bo przecież ktoś uznał, że jest to zasadne /nie wypowiadam się nt. zasadności czy adekwatności tego konkretnego sposobu - nie mam większej styczności z tą branżą/ - tylko uświadomić personel i wytłumaczyć, że w tej sytuacji najlepiej by było odwrócić te koperty peselem do dołu i go nie widać, a lekarz by je podglądał tak jak pokerzysta patrzy w karty.
Innym zagrożeniem byłoby, że te dokumenty medyczne leżą w obszarze granicznym /na biurku/ i są w zasięgu lekarza oraz pacjenta. Myślę że należało by rozważyć czy takie ich przechowanie na biurku przez czas pracy poradni, nie stwarza innego zagrożenia - pacjent korzystając z chwilowej nieuwagi lekarza/personel może zwędzić tą kopertę lub zniszczyć - bo ma w zasięgu ręki. -
Przemysław S.:
Nie mam pojęcia czemu wcześniej jakoś mentalnie oddzielałem audyt od testów, a przecież odtworzenie danych z kopii podczas audytu - to też testowanie. Nie tylko testy penetracyjne za kilka tysięcy.
Ja tylko bym dodał że to mentalne oddzielenie ma sens bo to dwa oddzielne zagadnienia.
Testować przywrócenie danych z kopii można w ramach okresowych obowiązków wynikających np. z PBI. To da nam odpowiedź czy przywrócenie danych z kopii jest możliwe, innymi słowy czy kopia /mechanizm, procedura backupu/ spełnia swoje działanie.
Nie widzę natomiast co do zasady jakoś testowania w trakcie audytu - jak to rozumiesz audytor testuje samodzielnie czy przywróci pliki, czy zleca to informatykowi żeby zobaczyć czy faktycznie coś jest w stanie przywrócić?
W trakcie audytu bada się i szuka dowodów na to że organizacja zachowuje zgodność ze standardami np iso 27001 czy obowiązkami wynikającymi z przepisów czy PBI.
Jeśli w pbi zapisano, że cyklicznie /3m/weryfikuje się poprawność wykonania backupu poprzez odtworzenie bazy do np. testowej lokalizacji.
To audytor ustala czy to robią i czy w zadanym okresie czasu wykonali. Poprosi o udokumentowaną informację, że taki test się odbył, np. protokół, notatkę, wpis w dzienniku, ewentualnie poprosi o pokazanie tego przywróconego ostatnio backupu jeśli siedzi gdzieś w katalogu.
Nie powinno mieć miejsca takie działanie że audytor ingeruje w ustalony schemat postępowania i żąda uruchomienia procedury przy nim. To by bardziej wchodziło w strefę kontroli i to nie tego czy wykonują cyklicznie zgodnie z harmonogramem tylko czy to przywrócenie jako proces it działa i czy faktycznie przywraca.Ten post został edytowany przez Autora dnia 19.01.17 o godzinie 15:38 -
Pytanie i cytowany art 32.1.e) RODO dotyczyło testowania, mierzenia i oceniania
------ skuteczności środków ------- mających zapewnić bezpieczeństwo.
Ja widzę to w ten sposób:Przemysław S.:
Masz jakiś pomysł? podziel się nim - jak w rozsądny sposób regularnie testować i nie pójść z torbami, a przede wszystkim jak testujesz bezpieczeństwo dokumentacji w formie tradycyjnej?może macie pomysł jak testować we własnym zakresie?
dla tych aktywów -dokumentacji papierowej- to przyjmijmy że chronimy je pod względem poufności i integralności, wyznaczyliśmy
- środki organizacyjne: wdrożenie polityki czystego biurka i przeszkolenie pracowników w zakresie tej polityki
- środki techniczne kontrola dostępu do pomieszczeń oraz zamykane szafy.
Jak testować ich skuteczność? Przede wszystkim liczbę incydentów bi dot. tych nośników papierowych/ utrata, nieuprawniony dostęp/ w zadanym okresie czasu np. kwartał, liczba ta powinna się zmniejszać w kolejnych pomiarach, jeśli się zmniejsza to znaczy że system działa -> pracownicy chowają i zamykają dokumenty, nie udostępniają kluczy itp.
Dalej np. testujemy skuteczność środka organizacyjnego, jakim jest wprowadzenie polityki czystego biurka oraz przeszkolenie pracowników. Obie te wartości są mierzalne.
Wykonywanie polit. czystego biurka możemy sprawdzać poprzez sprawdzenie czy faktycznie po godzinach pracy została ona zastosowana - idziemy na firmę i sprawdzamy przypadki niestosowania się do niej -> mamy liczbę przypadków, którymi mogą być niezamknięte po wyjściu pracownika chronione dokumenty.
Szkolenie - liczba wszystkich pracowników dzielone przez liczbę przeszkolonych powinno dążyć do 1.
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
